이메일이 사이버 공격을 유포시키는 매체로 악용되면서, 메일 보안에도 다단계 방어 전략과 글로벌 위협 인텔리전스를 이용한 신변종 공격 차단 전략이 필요하다는 의견이 폭넓게 수용되고 있다. 이메일 보안에 필요한 기술과 다단계 방어전략을 살펴본다.<편집자>
문서 재조합 기술로 악성코드 원천 제거
스피어피싱은 첨부파일을 통해 공격을 진행하게 되는데, 첨부파일은 업무문서 혹은 정상적이고 신뢰할 수 있는 문서로 위장하기 때문에 사용자의 주의만으로 막을 수 없다. 다우기술의 테라스메일은 첨부문서를 이미지로 만들어 악성코드가 포함돼 있다고 해도 실행되지 못하게 차단한다.
일부 메일보안 솔루션이 첨부문서를 강제로 이미지화하거나 PDF로 만드는데, 이 문서를 내부에서 재활용해야 한다면 승인절차를 거친 후 열어봐야 한다. 승인 절차가 번거로운데다가 만일 악성코드가 포함된 첨부파일이었다면 공격에 노출된다.
인텔시큐리티는 악성문서로 가장 많이 사용되는 PDF, MS 워드 등에 대해 특화된 분석 서비스를 제공한다. 문서나 HTML 내에 정상 서비스를 가장한 액티브 코드를 실시간 에뮬레이션으로 분석하고, 문서 내 의심스러운 페이로드를 지능적으로 탐지하며, 수백만개의 파일에 대한 평판분석기술로 위협을 차단한다.
첨부파일의 악성코드를 제거하는 방법으로 문서 재조합 기능이 최근 주목된다. 첨부파일에서 안전한 텍스트, 이미지 등만 골라서 깨끗한 새 문서에 재조합하는 기능으로, 의심스러운 매크로, 액티브코드는 기업 내부로 들어오지 못하게 한다. 시만텍의 ‘디스암’ 기능이 대표적이다.
소프트캠프의 ‘실덱스 새니트랜스 메일(SHIELDEX SaniTrans Mail)’도 이 기능을 수행한다. 새니트랜스 메일은 MS 오피스, PDF 뿐 아니라 HWP 문서까지 지원해 국내 기업/기관을 노리는 표적공격에 대응할 수 있다.
자체 개발한 PC 가상화 기술을 적용해 사용자가 PC에서 메일을 열람할 때 실시간으로 마이크로VM 방식의 샌드박스에서 첨부파일을 열람, 미처 발견하지 못한 악성코드가 업무망으로 들어오지 못하게 한다.
메일로 수신한 첨부파일은 실덱스 트레이스 서버(SHIELDEX Trace Server)에서 실시간으로 감시 및 모니터링 할 수 있으며, 소프트캠프의 문서 DRM을 사용하는 경우에는 문서의 사용 행위도 추적할 수 있다.
문서나 실행파일이 아닌 자바스크립트로 유입되는 공격을 막기 위해 팔로알토네트웍스의 ‘와일드파이어’는 파일블록 기반 분석 기술을 제공하며, 트렌드마이크로는 스크립트를 분석하는 엔진으로 분석한다.
위협 인텔리전스로 지능적 방어 시스템 구축
이메일 보안 시스템을 운영할 때 가장 중요한 것은 첨부파일과 URL이 위험한지 여부를 판단하는 것이다. 대부분의 이메일 보안 솔루션은 동적분석·정적분석 엔진을 함께 사용해 우회공격을 막고 변종 악성코드를 탐지한다. 이외에 행위기반 분석, 평판기반 분석, 화이트리스트/블랙리스트를 이용해 탐지 정확도를 높인다.
글로벌 위협 인텔리전스와 연계해 신변종 공격을 빠르게 인지하고 차단할 수 있도록 하는 것도 필요하다. 악성코드 분석 시스템을 갖춘 벤더들은 대부분 자체 연구소나 침해대응센터, 위협분석센터 등을 통해 글로벌 위협 인텔리전스를 구축하고 있으며, 다른 벤더·정부기관 등과 위협정보를 공유하고 공동대응하기도 한다.
토종 기업들도 위협 인텔리전스를 구축하고 고객들에게 실시간으로 공격 정보를 공유하고 있는데, 안랩의 ASD, 시큐아이 STIC 등이 대표적이며, 모니터랩의 ‘위협 인텔리전스를 위한 AI 클라우드센터(AI CLOUD Center For Threat Intelligence)’도 주목할만하다.
이 센터는 모니터랩 제품에서 수집된 위협 정보와 써드파티 위협 정보를 연계해 다양한 공격 로그를 수집하고 데이터마이닝을 통해 최신 보안 기능을 수행하도록 한다. 여기에 악성 파일 탐지 기능 ‘MAD(Malicious All-file Detection)’ 활용해 메일이 수신되는 순간 첨부 파일의 유무를 확인하고 첨부파일을 제외한 추가 링크를 본문에 첨부해 수신자에게 전송한다. 추출된 첨부 파일은 MAD로 전송돼 행위분석으로 분석한다.
MAD는 샌드방식을 통한 분석방법으로 샌드박스 내부 API 와처 엔진을 통해서 분석대상 파일을 직접 실행하고, 실행결과에 따라 추출되는 내용을 룰셋과 비교 매칭해 악성여부를 판별하게 된다.
모니터랩의 이메일 보안 솔루션 ‘애플리케이션 인사이트 시큐어 이메일 게이트웨이(AISEG)’는 행위기반 분석기술을 통해 악성 메일을 통한 위협을 차단하는 솔루션으로, 메일 본문이나 첨부 파일의 악성링크, 악성 소프트웨어를 탐지/차단한다. 링크 컨트롤을 통해 메일 콘텐츠와 첨부 파일을 분석하고, 송수신 메일 필터링과 샌드박스 기술을 이용하여 DLP 기능은 물론 APT 공격도 방어한다.
APT 방어 역량 기반으로 악성메일 차단
APT 공격 방어 솔루션은 파이어아이가 시장의 선두에 서 있으며, 이메일을 통한 APT 공격에도 가장 적극적으로 대응하고 있다.
파이어아이가 악성 이메일을 차단하는 방법은, 우선 ‘EX’를 이용해 이메일에 포함된 악성링크와 악성파일을 탐지하며, 네트워크 단에서 악성코드를 탐지하는 ‘NX’ 솔루션을 이용해 웹을 통해 유입되는 공격을 막는다. 엔드포인트에서 공격을 탐지하는 ‘HX’를 연동해 실제 공격이 이뤄지는 엔드포인트를 보호한다.
APT, 랜섬웨어 등 지능형 공격에 사용되는 악성코드는 보안시스템을 우회하기 위해 복잡하게 설계된다. 락커 랜섬웨어의 예를 들어보면, 이메일이나 웹을 통해 공격코드가 사용자 단말에 설치되는데, 공격코드는 자바스크립트로 이뤄져 있으며, 자체적으로 몇 차례에 걸쳐 복호화 한 후에야 C&C 서버와 통신한다. C&C 서버를 통해 랜섬웨어 악성코드가 암호화된 상태로 다운로드되며, 최초에 유입된 자바스크립트에 포함된 키를 이용해 복호화한다. 이 때에도 몇 단계에 걸쳐 복호화를 진행한다.
여러 차례에 걸쳐 복호화를 수행하는 이유는 공격코드를 높은 강도로 암호화해 보안 솔루션의 탐지를 피하기 위한 것이다. 행위기반 탐지 솔루션은 외부 파일이 유입된 후 외부와 통신을 시작하면 이상행위로 탐지해 통신을 차단하지만, 유입된 즉시 외부통신을 하는 것이 아니기 때문에 행위기반 분석 솔루션을 무력화한다.
최초 유입되는 공격 코드가 실행파일이 아니라 자바스크립트로 유입돼 실행파일이나 문서를 분석해 악성코드를 찾아내는 보안 솔루션을 우회한다. 기존의 보안 솔루션은 짧은 코드에서 공격패턴을 찾아내기 어렵기 때문이다.
박성수 파이어아이코리아 선임은 “지능형 공격 방식에 대해 사용자들의 이해가 높아지면서 공격 성공률이 낮아지자 공격자들은 더 지능적인 방법으로 악성코드를 제작하고 있으며, 기존 보안 솔루션을 무력화 하는 다양한 방법을 고안해내고 있다”며 “고도화되는 공격을 차단하기 위해서는 단계별 대응 전략이 필요하다”고 말했다.
그는 “이메일, 네트워크, 엔드포인트에서 위협을 탐지하고, 글로벌 위협 인텔리전스와 연동하는 한편, 진행된 공격을 탐지·대응하는 기술까지 연결해 고도화되는 공격을 막을 수 있다”고 덧붙였다.
